INTRODUCCIÓN A LA FORMATICA FORENCE

Vista previa del material en texto

INTRODUCCIÓN A LA
INFORMÁTICA FORENSE
Dr. Santiago Acurio Del Pino
1Fiscalía General Del Estado del Ecuador - OEA
Agenda
Prueba de los Delitos Informáticos
Informática Forense
En la escena del Delito
Roles de la Investigación
Caso Práctico
2
Fiscalía General Del Estado del Ecuador - OEA
Prueba de los Delitos Informáticos
Evidencia Digital, Reconocimiento de la
Evidencia
Evidencia electrónica
Prueba de los Delitos Informáticos
¨ La prueba dentro del proceso penal es de especial
importancia, ya que desde ella se confirma o
desvirtúa una hipótesis o afirmación precedente, se
llega a la posesión de la verdad material.
¨ De esta manera se confirmará la existencia de la
infracción y la responsabilidad de quienes aparecen
en un inicio como presuntos responsables, todo esto
servirá para que el Tribunal de Justicia alcance el
conocimiento necesario y resuelva el asunto sometido
a su conocimiento.
Reconocimiento de la Evidencia Digital
¨ Es importante clarificar los conceptos y describir la
terminología adecuada que nos señale el rol que tiene un
sistema informático dentro del iter criminis o camino del
delito.
¨ Esto a fin de encaminar correctamente el tipo de
investigación, la obtención de indicios y posteriormente los
elementos probatorios necesarios para sostener nuestro
caso.
¨ Es así que por ejemplo, el procedimiento de una
investigación por homicidio que tenga relación con
evidencia digital será totalmente distinto al que, se utilice
en un fraude informático, por tanto el rol que cumpla el
sistema informático determinara DONDE DEBE SER
UBICADA Y COMO DEBE SER USADA LA EVIDENCIA.
Reconocimiento de la Evidencia Digital
¨ Ahora bien para este propósito se han creado categorías
a fin de hacer una necesaria distinción entre el elemento
material de un sistema informático o hardware (evidencia
electrónica) y la información contenida en este (evidencia
digital).
¨ Esta distinción es útil al momento de diseñar los
procedimientos adecuados para tratar cada tipo de
evidencia y crear un paralelo entre una escena física del
crimen y una digital.
¨ En este contexto el hardware se refiere a todos los
componentes físicos de un sistema informático, mientras
que la información, se refiere a todos los datos,
programas almacenados y mensajes de datos trasmitidos
usando el sistema informático.
SISTEMA INFORMÁTICO
HARDWARE (Elementos Físicos) Evidencia Electrónica
· El hardware es mercancía
ilegal o fruto del delito.
· El hardware es una mercancía ilegal cuando su posesión no está
autorizada por la ley. Ejemplo: en el caso de los decodificadores
de la señal de televisión por cable, su posesión es una violación a
los derechos de propiedad intelectual y también un delito.
· El hardware es fruto del delito cuando este es obtenido mediante
robo, hurto, fraude u otra clase de infracción.
· El hardware es un
instrumento
· Es un instrumento cuando el hardware cumple un papel
importante en el cometimiento del delito, podemos decir que es
usada como un arma o herramienta, tal como una pistola o un
cuchillo. Un ejemplo serían los snifers y otros aparatos
especialmente diseñados para capturar el tráfico en la red o
interceptar comunicaciones.
· El hardware es evidencia · En este caso el hardware no debe ni ser una mercancía ilegal,
fruto del delito o un instrumento. Es un elemento físico que se
constituye como prueba de la comisión de un delito. Por ejemplo
el scanner que se uso para digitalizar una imagen de pornografía
infantil, cuyas características únicas son usadas como elementos
de convicción
Elementos Físicos
Información
SISTEMA INFORMÁTICO
INFORMACIÓN Evidencia Digital
· La información es
mercancía ilegal o el
fruto del delito.
La información es considerada como mercancía ilegal cuando su
posesión no está permitida por la ley, por ejemplo en el caso de la
pornografía infantil. De otro lado será fruto del delito cuando sea
el resultado de la comisión de una infracción, como por ejemplo
las copias pirateadas de programas de ordenador, secretos
industriales robados.
· La información es un
instrumento
La información es un instrumento o herramienta cuando es usada como
medio para cometer una infracción penal. Son por ejemplo los
programas de ordenador que se utilizan para romper las
seguridades de un sistema informático, sirven para romper
contraseñas o para brindar acceso no autorizado. En definitiva
juegan un importante papel en el cometimiento del delito.
· La información es
evidencia
Esta es la categoría más grande y nutrida de las anteriores, muchas de
nuestras acciones diarias dejan un rastro digital. Uno puede
conseguir mucha información como evidencia, por ejemplo la
información de los ISP’s, de los bancos, y de las proveedoras de
servicios las cuales pueden revelar actividades particulares de los
sospechosos
Donde buscar la Evidencia: Fuentes de
Evidencia
¨ SISTEMAS DE COMPUTACIÓN
ABIERTOS, son aquellos que están
compuestos de las llamadas
computadores personales y todos
sus periféricos como teclados,
ratones y monitores, las
computadoras portátiles, y los
servidores. Actualmente estos
computadores tiene la capacidad
de guardar gran cantidad de
información dentro de sus discos
duros, lo que los convierte en una
gran fuente de evidencia digital.
Donde buscar la Evidencia: Fuentes de
Evidencia
¨ SISTEMAS DE COMUNICACIÓN, estos
están compuestos por las redes de
telecomunicaciones, la comunicación
inalámbrica y el Internet. Son también
una gran fuente de información y de
evidencia digital.
¨ SISTEMAS CONVERGENTES DE
COMPUTACIÓN, son los que están
formados por los teléfonos celulares
llamados inteligentes o
SMARTPHONES, los asistentes
personales digitales PDAs, las tarjetas
inteligentes y cualquier otro aparato
electrónico que posea convergencia
digital y que puede contener
evidencia digital.
Propósito de la Clasificación
¨ En resumen el propósito fundamental de las categorías antes
mencionadas es el de enfatizar el papel que juegan los
sistemas informáticos en la comisión de delitos, a fin de que el
investigador criminal tenga un derrotero claro y preciso al
buscar los elementos convicción que aseguren el éxito dentro
de un proceso penal.
¨ En estas condiciones para efectos probatorios son objeto de
examen, tanto el hardware como la información contenida en
este, para lo cual es necesario contar con el auxilio y el
conocimiento que nos brinda la ciencia informática, y en
particular de la Ciencia Forense Informática.
Informática forense
Concepto, Dinámica de la Evidencia
Concepto
¨ Es una ciencia forense que se ocupa de la utilización de
los métodos científicos aplicables a la investigación de
los delitos, no solo Informáticos y donde se utiliza el
análisis forense de las evidencias digitales, en fin toda
información o datos que se guardan en una
computadora o sistema informático.
¨ En conclusión diremos que Informática Forense es “la
ciencia forense que se encarga de la preservación,
identificación, extracción, documentación y interpretación
de la evidencia digital, para luego ésta ser presentada en
una Corte de Justicia”.
Evidencia Digital
¨ En derecho procesal la evidencia es la certeza clara,
manifiesta y tan perceptible que nadie puede dudar de
ella.
¨ De otro lado la evidencia digital es cualquier mensaje de
datos almacenado y trasmitido por medio de un Sistema de
Información que tenga relación con el cometimiento de un
acto que comprometa gravemente dicho sistema y que
posteriormente guié a los investigadores al descubrimiento
de los posibles infractores.
¨ En definitiva son campos magnéticos y pulsos electrónicos
que pueden ser recogidos y analizados usando técnicas y
herramientas especiales
Clases de Evidencia Digital
¨ En un principio el tipo de evidencia digital que se buscaba en los
equipos informáticos era del tipo CONSTANTE o PERSISTENTE es
decir la que se encontraba almacenada en un disco duro o en otro
medio informático y que se mantenía preservada después de que la
computadora era apagada.
¨ Posteriormente y gracias a las redesde interconexión, el
investigador forense se ve obligado a buscar también evidencia del
tipo VOLÁTIL, es decir evidencia que se encuentra alojada
temporalmente en la memoria RAM, o en el CACHE, son evidencias
que por su naturaleza inestable se pierden cuando el computador
es apagado.
¨ Este tipo de evidencias deben ser recuperadas casi de inmediato.
Volcado de la memoria global del
sistema y de cada proceso
¨ Volcado de la memoria global del sistema y
de cada proceso: ante la dificultad de
realizar un análisis en profundidad, se podrá
utilizar el volcado de memoria para buscar
determinadas cadenas de caracteres que
puedan dar pistas sobre el incidente que ha
afectado al equipo.
Procesos y Servicios en ejecución
dentro del Sistema
¨ De cada proceso o servicio sería conveniente
identificar el archivo ejecutable y los parámetros
de ejecución, así como la cuenta de usuario bajo la
que se ejecuta, archivos que está usando y qué
otro proceso o servicio lo ha llamado (árbol de
ejecución), para posteriormente poder comparar
esta información con la situación estable del objeto
de estudio
Dinámica de la Evidencia
¨ La dinámica de la evidencia
es la forma como se
entienden y se describen los
diferentes factores
(humanos, de la naturaleza,
de los equipos) que actúan
sobre las evidencias, a fin
de determinar los cambios
que estos producen sobre
ellas.
Dinámica de la evidencia
¨ Podemos afirmar indudablemente que existen
muchos agentes que intervienen o actúan sobre la
evidencia digital, aquí se aplica el llamado
Principio de intercambio o de Locard; el
investigador forense se ve en la necesidad de
reconocer la forma como estos factores pueden
alterar la evidencia, y así tener la oportunidad de
manejarla de una manera apropiada, evitando
generalmente contaminarla, dañarla y hasta
perderla por completo.
Principio de Intercambio
¨ El principio de intercambio de Locard,
menciona que cuando dos objetos entran en
contacto siempre existe una transferencia de
material entre el uno y el otro.
¨ Es decir que cuando una persona está en una
escena del crimen esta deja algo de si misma
dentro de la escena, y a su vez cuando sale de
ella esta se lleva algo consigo
Principio de Intercambio
Afectación de la Escena del Crimen:
Efectos de la dinámica
¨ EQUIPOS DE EMERGENCIAS: En el caso de un
incendio, los sistemas informáticos pueden ser
afectados por el fuego y el humo,
posteriormente sometidos a una gran presión de
agua al tratar de apagar este. Esto provoca
que los técnicos forenses no puedan determinar
a ciencia cierta si los sistemas informáticos
encontrados en la escena estuvieron
comprometidos, fueron atacados o usados
indebidamente. En otras ocasiones los equipos
de emergencia manipulan la escena cuando es
necesario para salvar la vida de una persona.
¨ TESTIGOS: Un administrador del sistema
puede borrar cuentas de usuarios
sospechosas, las mismas que fueron creadas
por un intruso, a fin de prevenir su acceso y
utilización futura.
¨ EL CLIMA Y LA NATURALEZA: Los campos
electromagnéticos pueden corromper la
información guardada en discos magnéticos.
¨ DESCOMPOSICIÓN: En algunos casos la
información almacenada en discos
magnéticos, o en otros soportes puede
perderse o tornarse ilegible para los
sistemas de información, a causa del tiempo
y de las malas condiciones de
almacenamiento.
Afectación de la Escena del Crimen:
Efectos de la dinámica
Comprender la Dinámica de la
Evidencia
¨ El investigador forense debe entender como los factores
humanos, de la naturaleza y de los propios equipos
informáticos pueden alterar, borrar o destruir evidencia,
¨ Debe comprender como dichas variables actúan sobre
la escena misma del delito,
¨ Debe por tanto encaminar la investigación desde su
etapa más temprana tomando en cuenta esos cambios,
a fin de adecuar el mejor método para adquirir,
preservar y luego analizar las pistas obtenidas, y así
reducir de manera considerable los posibles efectos de
la dinámica de la evidencia.
En la escena del Delito
Procedimiento de Operaciones Estándar
Procedimiento de Operaciones
Estándar
¨ Cuando se va revisar una escena del crimen del tipo
informático es necesario tener en cuenta un procedimiento
de operaciones estándar (POE), el mismo que es el conjunto
de pasos o etapas que deben realizarse de forma
ordenada al momento de recolectar o examinar la
evidencia digital.
¨ Esta serie de procedimientos se utilizan para asegurar que
toda la evidencia recogida, preservada, analizada y
filtrada se la haga de una manera transparente e integra.
¨ La transparencia y la integridad metodológica (estabilidad
en el tiempo de los métodos científicos utilizados) se
requieren para evitar errores, a fin de certificar que los
mejores métodos son usados, incrementado cada vez la
posibilidad de que dos examinadores forenses lleguen al
mismo dictamen o conclusión cuando ellos analicen la misma
evidencia por separado. A esto se lo conoce como
reexaminación.
Manual de Manejo de Evidencias Digitales y Entornos
Informáticos
¨ Con el propósito de tener una guía de buenas prácticas en la
recolección de evidencia digital, la Dirección Nacional de Tecnologías
de la Información presento en Junio de este año el Manual de Manejo
de evidencias digitales y entornos informáticos V. 2.0 al Señor Fiscal
General Dr. Washington Pesantez Muñoz quien con visión de futuro
ordeno la impresión de 1600 guías para ser entregadas a todos los
funcionarios de la Fiscalía General del Estado.
¨ El Manual pretende ser una guía de actuación para miembros de la
Policía Judicial a si como de los Funcionarios de la Fiscalía General Del
Estado, cuando en una escena del delito se encuentren dispositivos
Informáticos o electrónicos que estén relacionados con el cometimiento
de una infracción de acción pública
Principios Básicos
¨ El funcionario de la Fiscalía o de la Policía Judicial
nunca debe acudir solo al lugar de los hechos, este
tipo de actividad debe ser realizada como mínimo
por dos funcionarios.
¨ Un segundo funcionario, por un lado, aporta
seguridad personal y, por otro, ayuda a captar más
detalles del lugar de los hechos. Los funcionarios
deberían planear y coordinar sus acciones.
¨ Si surgen problemas inesperados, es más fácil
resolverlos porque “dos cabezas piensan más que una.
Principios Básicos
¨ Ninguna acción debe
tomarse por parte de la
Policía Judicial, Fiscalía o
por sus agentes y
funcionarios que cambie o
altere la información
almacenada dentro de un
sistema informático o
medios magnéticos, a fin de
que esta sea presentada
fehacientemente ante un
tribunal.
Principios Básicos
¨ En circunstancias excepcionales una persona
competente puede tener acceso a la información
original almacenada en el sistema informático objeto
de la investigación, siempre que después se explique
detalladamente y de manera razonada cual fue la
forma en la que se produjo dicho acceso, su
justificación y las implicaciones de dichos actos.
Principios Básicos
¨ Se debe llevar una bitácora de todos los procesos
adelantados en relación a la evidencia digital.
Cuando se hace una revisión de un caso por parte
de una tercera parte ajena al mismo, todos los
archivos y registros de dicho caso y el proceso
aplicado a la evidencia que fue recolectada y
preservada, deben permitir a esa parte recrear el
resultado obtenido en el primer análisis.
Principios Básicos
¨ El Fiscal del Caso y/o el oficial a cargo de la
investigación son responsables de garantizar
el cumplimiento de la ley y del apego a estos
principios, los cuales se aplican a la posesión
y el acceso a la información almacenada en
el sistema informático. De igual forma debe
asegurar que cualquier persona que acceda
a o copie dicha información cumpla con la
ley y estos principios.
Investigación en la escena del Delito
¨ Observe y establezca los parámetros de
la escena del delito: El primero en
responder debe establecer si el delito
todavía se esta cometiendo, tiene que
tomar nota de las características físicas de
el área circundante. Paralos investigadores
forenses esta etapa debe ser extendida a
todo sistema de información y de red que
se encuentre dentro de la escena. En estos
casos dicho sistema o red pueden ser
blancos de un inminente o actual ataque
como por ejemplo uno de denegación de
servicio (DoS).
Investigación en la escena del Delito
¨ Inicie las medidas de Seguridad: El objetivo
principal en toda investigación es la seguridad
de los investigadores y de la escena. Si uno
observa y establece en una condición insegura
dentro de una escena del delito, debe tomar
las medidas necesarias para mitigar dicha
situación.
¨ Se deben tomar las acciones necesarias a fin
de evitar riesgos eléctricos, químicos o
biológicos, de igual forma cualquier actividad
criminal.
¨ Esto es importante ya que en una ocasión en
una investigación de pornografía infantil en
Estados Unidos un investigador fue muerto y
otro herido durante la revisión de una escena
del crimen.
Investigación en la Escena del Delito
¨ Facilite los primeros auxilios: Siempre se deben tomar
las medidas adecuadas para precautelar la vida de las
posibles víctimas del delito, el objetivo es brindar el
cuidado médico adecuado por el personal de
emergencias y el preservar las evidencias.
¨ Asegure Físicamente la Escena: Esta etapa es crucial
durante una investigación, se debe retirar de la escena
del delito a todas las personas extrañas a la misma, el
objetivo principal es el prevenir el acceso no autorizado
de personal a la escena, evitando así la contaminación
de la evidencia o su posible alteración.
Investigación en la Escena del Delito
¨ Asegure Físicamente las Evidencias: Este paso es muy
importante a fin de mantener la cadena de custodia[1] de
las evidencias, se debe guardar y etiquetar cada una de
las evidencias. En este caso se aplican los principios y la
metodología correspondiente a la recolección de
evidencias de una forma práctica. Esta recolección debe
ser realizada por personal entrenado en manejar,
guardar y etiquetar evidencias.
¨
[1] La cadena de custodia es un sistema de aseguramiento que, basado en
el principio de la “mismidad”, tiene como fin garantizar la autenticidad de
la evidencia que se utilizará como “prueba” dentro del proceso.
Investigación en la escena del Delito
¨ Entregar la Escena del Delito: Después de
que se han cumplido todas las etapas
anteriores, la escena puede ser entregada a
las autoridades que se harán cargo de la
misma. Esta situación será diferente en cada
caso, ya que por ejemplo en un caso penal
será a la Policía Judicial o al Ministerio
Público; en un caso corporativo a los
Administradores del Sistema. Lo esencial de
esta etapa es verificar que todas las
evidencias del caso se hayan recogido y
almacenado de forma correcta, y que los
sistemas y redes comprometidos pueden
volver a su normal operación.
Investigación en la Escena del Crimen
¨ Elaborar la Documentación de la explotación de la
Escena: Es Indispensable para los investigadores
documentar cada una de las etapas de este proceso,
a fin de tener una completa bitácora de los hechos
sucedidos durante la explotación de la escena del
delito, las evidencias encontradas y su posible
relación con los sospechosos. Un investigador puede
encontrar buenas referencias sobre los hechos
ocurridos en las notas recopiladas en la explotación
de la escena del Delito.
Reconstrucción de la Escena
¨ La reconstrucción del delito
permite al investigador
forense comprender todos los
hechos relacionados con el
cometimiento de una
infracción, usando para ello
las evidencias disponibles.
Reconstrucción de la Escena
¨ Los indicios que son utilizados en la reproducción del Delito permiten al
investigador realizar t res formas de reconstrucción a saber:
nn ReconstrucciónReconstrucción RelacionalRelacional,, sese hacehace enen basebase aa indiciosindicios
queque muestranmuestran lala correspondenciacorrespondencia queque tienetiene unun objetoobjeto enen lala
escenaescena deldel delitodelito yy susu relaciónrelación concon loslos otrosotros objetosobjetos
presentespresentes.. SeSe buscabusca susu interaccióninteracción enen conjuntoconjunto oo entreentre
cadacada unouno dede ellosellos;;
nn ReconstrucciónReconstrucción FuncionalFuncional,, sese hacehace señalandoseñalando lala funciónfunción
dede cadacada objetoobjeto dentrodentro dede lala escenaescena yy lala formaforma enen queque estosestos
trabajantrabajan yy comocomo sonson usadosusados;;
nn ReconstrucciónReconstrucción TemporalTemporal,, sese hacehace concon indiciosindicios queque nosnos
ubicanubican enen lala línealínea temporaltemporal deldel cometimientocometimiento dede lala
infraccióninfracción yy enen relaciónrelación concon laslas evidenciasevidencias encontradasencontradas..
Roles de la Investigación
Primeros en responder, Peritos, Detectives
Digitales
Roles en la Investigación
TÉCNICOS EN ESCENAS DEL CRIMEN INFORMÁTICAS, también
llamados FIRST RESPONDENDERS, son los primeros en llegar a la escena
del crimen, son los encargados de recolectar las evidencias que ahí se
encuentran. Tiene una formación básica en el manejo de evidencia y
documentación, al igual que en reconstrucción del delito, y la localización
de elementos de convicción dentro de la red.
EXAMINADORES DE EVIDENCIA DIGITAL O INFORMÁTICA, que son
los responsables de procesar toda la evidencia digital o informática
obtenida por los Técnicos en Escenas del Crimen Informáticos. Para esto
dichas personas requieren tener un alto grado de especialización en el área
de sistemas e informática.
INVESTIGADORES DE DELITOS INFORMÁTICOS, que son los
responsables de realizar la investigación y la reconstrucción de los hechos
de los Delitos Informáticos de manera general, son personas que tiene un
entrenamiento general en cuestiones de informática forense, son
profesionales en Seguridad Informática, Abogados, Policías, y
examinadores forenses.
Peritos Informáticos
¨ Por otro lado, se hace indispensable para la valoración
de las pruebas o elementos de convicción la
intervención de personas que tengan especiales
conocimientos en materias especiales en este caso de la
materia informática, personas que prestan un servicio
especial al Fiscal y al Juez al momento ilustrar sobre las
materias, técnicas o artes que son de su conocimiento, a
fin de dichos funcionarios en función de dichas
explicaciones puedan emitir su criterio en el momento
adecuado (Dictamen Fiscal o la Sentencia)
Peritos Informáticos
¨ El perito no es mas que un testigo que ha visto los
resultados y examinado los rastros materiales: es la
mirada del Juez y el Fiscal en esos rastros que
requieren algún conocimiento especial propio de su
ciencia, arte, profesión u oficio.
¨ El dictamen del perito debe contener una opinión
fundada, exponiendo al juez y al fiscal los
antecedentes de orden técnico que tuvo en cuenta,
pues, como ya se dijo, su objeto es ilustrar el
conocimiento al magistrado y al representante de la
Fiscalía General del Estado.
¨ La pericia, por definición no puede consistir en una
mera opinión del experto, prescindiendo del necesario
sustento científico
Principios del Peritaje
¨ Objetividad: El perito debe ser objetivo, debe
observar los códigos de ética profesional.
¨ Autenticidad y conservación: Durante la
investigación, se debe conservar la autenticidad e
integridad de los medios probatorios
¨ Legalidad: El perito debe ser preciso en sus
observaciones, opiniones y resultados, conocer la
legislación respecto de sus actividad pericial y
cumplir con los requisitos establecidos por ella
Principios del Peritaje
¨ Idoneidad: Los medios probatorios deben ser
auténticos, ser relevantes y suficientes para el caso.
¨ Inalterabilidad: En todos los casos, existirá una
cadena de custodia debidamente asegurada que
demuestre que los medios no han sido modificados
durante la pericia.
¨ Documentación: Deberá establecerse por escrito los
pasos dados en el procedimiento pericial
¨ Estos principios deben cumplirse en todas las pericias y por todos los
peritos involucradosFormación del Perito Informático
¨ El Perito Informático Forense según la opinión del
Profesor Jeimy Cano[1] requiere la formación de un
perito informático integral que siendo especialista en
temas de Tecnologías de información, también debe ser
formado en las disciplinas jurídicas, criminalisticas y
forenses. En este sentido, el perfil que debe mostrar el
perito informático es el de un profesional híbrido que
no le es indiferente su área de formación profesional y
las ciencias jurídicas.
¨ [1] CANO Jeimy, Estado del Arte del Peritaje
Informático en Latinoamérica. ALFA-REDI, 2005
Documentos Informáticos y un caso
práctico
Concepto y validez de los documentos
Documentos Informáticos o Electrónicos
¨ El documento informático puede ser definido
como la representación en forma informática
de hechos jurídicamente relevantes
susceptibles de ser presentados en una forma
humanamente comprensible
Validez de los Documentos Electrónicos
¨ Toda pretensión jurídica dentro de un juicio debe
ser sustentada mediante las reglas dadas por el
derecho probatorio interno de cada país, ya que
de ello depende la efectiva titularidad sobre un
derecho discutido o negado.
¨ Por ello, la prueba se constituye en una de las
partes primordiales del proceso y en una condición
de seguridad jurídica esencial para el
pronunciamiento de una sentencia justa y objetiva.
Confidencialidad
Integridad
No rechazabilidad
Autenticidad
Validez de los Documentos Electrónicos
(comunicaciones electrónicas)
Validez de los Documentos Electrónicos
¨ Para que un documento electrónico sea válido
dentro de un proceso judicial debe tener las
siguientes características
¤ Autenticidad
Capacidad de identificar si determinada persona es el
autor de un documento electrónico o si reconoce el
contenido del mismo.
n Confidencialidad
Capacidad de mantener un documento electrónico como
inaccesible para terceros ajenos a él.
Validez de los Documentos Electrónicos
¤ Integridad
Capacidad de impedir que un documento electrónico sea
alterado en el transcurso de su envío y recepción.
¤No Rechazabilidad
Capacidad de impedir que las partes puedan negar
haber enviado o recibido un documento electrónico.
Caso Práctico
Caso de Raúl
Reyes
Mensajes de Datos
¨ Fragmento de una de
las cartas
supuestamente
encontradas en las
computadoras de
Raúl Reyes
Medio de Prueba de los D.E.
¨ Mensajes de Datos como
medio de prueba
¨ Medio de Prueba.-
procedimiento que establece la
Ley para ingresar un elemento
de prueba en el proceso
¨ Art. 53 LCE, Art. 156 del CPP
Admisibilidad de la Evidencia
¨ Establecer un Procedimiento de Operaciones
Estándar
¨ Cumplimiento de los Principios Básicos
¨ Cumplir los principios constitucionales y legales
(Teoría del Árbol Envenenado, Secreto a la
correspondencia y las comunicaciones)
¨ Seguir el trámite legal
Admisibilidad de la Evidencia
Para esto es necesario probar dos situaciones:
¨ Debemos establecer que el mensaje de datos usado
como evidencia digital fue localizado y recuperado
del equipo informático del sospechoso y de ningún
otro equipo informático perteneciente a alguien
más.
Admisibilidad de la Evidencia
¨ Debemos comprobar que el mensaje de
datos usado como evidencia fue creado o
originado en el equipo perteneciente al
sospechoso más allá de cualquier duda de
que dicho mensaje fue puesto o creado ahí
por el equipo informático del investigador
Como se logra la Admisibilidad
¨ La admisibilidad se logra con la aplicación
de los códigos de integridad (Valor HASH) y
su comparación
¨ Es un error verificar la admisibilidad de la
evidencia digital (mensajes de Datos) a
través de la cadena de custodia.
¨ La solución es más simple
Código de Integridad o Hash
¨ Es una función matemática que, a partir de un
cierto volumen de datos, derivan una pequeña
serie de datos, o huella digital.
¨ 397B3732D63F53BF51FF5210551476F7
¨ Una función hash comprime los bits del mensaje
a un valor hash de tamaño fijado, de manera
que distribuye los posibles mensajes
uniformemente entre los posibles valores hash.
Caso Reyes
¨ Evidencia No. 31
¨ Nombre del Archivo: Esperanza-Enviados.doc
¨ Fecha de Creación: 06/10/07 09:40:38a.m.
¨ Fecha de Modificación:01/02/07 03:33:20p.m.
¨ Hash MD5:
BB14EF3049F0D11C32692ED42618CE47
¨ Ruta completa o Path:
\comisionInternacional\INTEGRANTES-
CMI\AÑO2006\Esperanza-Enviados.doc
Metodología de un Análisis Forense
Identificar
Preservar
Analizar
Presentar
1 2
3
4
Preguntas
Fiscalía General Del Estado del Ecuador - OEA
64
Muchas Gracias por su atención
Dr. Santiago Acurio Del Pino
Fiscalía General del Estado
sacurio@hotmail.com
acurios@minpec.gov.ec
mailto:sacurio@hotmail.com
mailto:acurios@minpec.gov.ec